Warum ist Google Analytics problematisch?

Google Analytics verarbeitet alle Daten in den USA, was Datenschutzbedenken aufwirft. Dies liegt daran, dass US-amerikanische Behörden und Geheimdienste potenziell Zugriff auf diese Daten haben könnten, was den Schutz der Privatsphäre der Nutzer gefährdet.

Bullshit-Rückblick Mai 2021 und Vorschau

Q: Was ist serverseitiges Tracking?

Serverseitiges Tracking ist eine Technik, die sowohl zur datenschutzkonformen Auswertung von Nutzern eingesetzt werden kann, als auch zur Verschleierung rechtswidriger Nutzerverfolgungen. Dabei werden Daten auf einem Server analysiert, ohne dass der Nutzer direkt involviert ist.

Q: Was ist mit der Kohorten-ID?

Die Kohorten-ID, die im Endgerät des Nutzers gespeichert wird, ist analog zu einem Cookie zu betrachten und somit einwilligungspflichtig. Dadurch wurde Google FloC einwilligungspflichtig, obwohl es auf Cookies verzichtet hat.

Kategorien: Bullshit Basics, Datenschutz und Übersicht

Einleitung

Der Mai war von Feiertagen geprägt . Allerdings gibt es einiges Spannendes zu berichten. Immerhin wurde das TTDSG in neuer Fassung beschlossen. Auch hat Google zugegeben, bestimmte Daten immer in den USA zu verarbeiten!

Die Themen

Das serverseitige Tracking habe ich in meinem Betrag näher untersucht. Dieser Ansatz wurde eingeführt, um datenschutzkonformer Nutzer auswerten zu können. Manche nutzen diese Technik auch zur Verschleierung von rechtswidrigem Nachverfolgen von Nutzern ohne Einwilligung.

Mein Beitrag zeigt unterschiedliche Stufen des serverseitigen Trackings und deren Möglichkeiten sowie Limitationen. Auch widme ich mich den möglichen Verschleierungen und beschreibe, welche Technik wie gut enttarnt werden kann.

Was ist serverseitiges Tracking?

Zu diversen Google Themen habe ich Untersuchungen angestellt und Beiträge veröffentlicht. Dazu gehören der Google Tag Manager, Google Analytics und auch wieder Google FloC.

Der Google Tag Manager ist ein populäres Tool, wahrscheinlich eher bei Werbeagenturen. Ich selbst sehe wenig Sinn darin, den Tag Manager so einzusetzen wie es viele tun. Das Tool wird nämlich oft einfach nur dazu verwendet, andere Tools bedingungslos, also stupide, nachzuladen. Das geht genauso einfach, aber mit weniger Aufwand und ohne rechtliches Risiko, weil direkt datenschutzkonform, auf anderem Wege.

Google Tag Manager: Häufige Probleme

Google Tag Manager: Datenschutzkonform?

Im Rahmen einer behördlichen Prüfung durch die österreichische Datenschutzaufsicht hat Google nicht anders weiter gewusst, also direkt und unmissverständlich folgendes zuzugeben:

Google verarbeitet sämtliche Google Analytics Daten immer in den USA
Geständnis von Google selbst

Dies hat Google wohl nur deshalb zugegeben, um danach zu versuchen, sich rauszureden. Google möchte glaubhaft machen, dass amerikanische Behörden und Geheimdienste bei Datenverarbeitung (nur) in den USA keinen Zugriff auf die Daten haben. Ich nenne das Bullshit.

Google Analytics: Datenverarbeitung immer in den USA

Eine weitere Verzweiflungstat von Google ist der FloC-Ansatz zum Berechnen der Vorlieben von Nutzern bzw. zum Einordnen jedes Nutzers in Interessensgruppen. Eine Interessensgruppe ist eine Liste von Nutzern, die als ähnlich bezüglich bestimmter Eigenschaften und Interessen angesehen werden. Beispiel: Nutzer kokst gerne, Nutzer kauft gerne Waffen, Nutzer ist weiblich. Dieses Beispiel sehe ich als real möglich an.

Google FloC wurde nur eingeführt, um auf Cookies verzichten zu können. Leider hat Google vergessen zu berücksichtigen, dass eine Kohorten-ID, die im Endgerät des Nutzers gespeichert wird, analog zu einem Cookie zu betrachten und somit einwilligungspflichtig ist.

Google FloC: Auch Einwilligungspflichtig

Muss ein Datenschutzbeauftragter ein Anwalt sein?

Nein, sagt ein Gericht. Alles andere hätte mich auch gewundert, auch wenn Rechtsanwaltskammern oder einige Anwälte es gerne anders hätten.

DSBs müssen keine Anwälte sein

Dann habe ich noch etwas zu Cookiebot und dem Tracking Tool New Relic berichtet. Cookiebot bietet keinen AVV an und meint, das wäre nicht notwendig. Anscheinend kennt Cookiebot bzw. der Anbieter Cybot die einschlägigen Datenschutzgesetze nicht oder will sie nicht kennen. New Relic wird von manchen Webseiten verwendet. Warum, weiß ich nicht. Schließlich ist das Tool einwilligungspflichtig, ebenso wie Google Analytics, aber dafür weniger leistungsfähig. Wahrscheinlich liegt es daran, dass man sich dann besser fühlt. Richtig ist, dass der Einsatz von Google Tools immer ein rechtliches Risiko mit sich bringt. Bei New Relic mag es nicht ganz so schlimm sein, auch wenn der Anbieter auch aus den USA stammt.

Cookiebot: Schlechte Idee

New Relic: Einwilligungspflichtig

Ausblick

Mit meinem automatisierten Tool können viele Webseiten automatisiert untersucht werden. Das habe ich für 250 Webseiten von Unternehmen eines Mittelstandsverbunds getan und werte die Ergebnisse aus. Hierüber möchte ich demnächst berichten.

Mittlerweile hatte ich schon über das TTDSG in der Fassung vom 21. Mai 2021 berichtet und die Einwilligungsverwaltung kritisiert. Zum TTDSG wird es weitere Artikel geben, die es einordnen und die Konsequenzen betrachten.

Meine Privacy Plattform ist im Aufbau. Die Plattform wird datenschutzfreundliche und zugleich kostenfreie, oft nichtkommerzielle Lösungen bereitstellen. Eine interaktive Karte statt Google Maps biete ich hier schon an. Auch den online Webseiten-Check wird es dort geben. Zusätzlich Dinge wie einen Google Tag Manager Ersatz und einen Datenschutzgenerator für Texte, auch wenn ich glaube, dass letzterer am Problem vobeiführt. Die Plattform ist offen für alle Lösungen. Ich füge lediglich meine eigenen Lösungen hinzu, um eine Basis zu schaffen. Anbieter datenschutzfreundlicher Lösungen können sich gerne bei mir melden.